L’année 2016 a été marquée par la politique, les débats sur la santé mentale et la mort de nombreuses célébrités, mais aussi par une véritable mise à l’épreuve de la sécurité en ligne pour les entreprises et les particuliers. Confronté à des pirates informatiques de plus en plus redoutables, le monde a été la cible de cyberattaques marquantes au cours des 12 derniers mois. Voici un petit récapitulatif des attaques parmi les plus marquantes de 2016.
- Attaque par DDOS de Dyn
En octobre, des pirates ont mené une cyberattaque d’envergure par déni de service distribué (DDOS), perturbant le fournisseur Dyn, qui héberge une foule de sites comme Twitter, Netflix, Paypal, Pinterest et PlayStation Network.
UNE ATTAQUE D’UNE AMPLEUR PHÉNOMÉNALE, ATTEIGNANT PRÈS DE 1 TBIT/S. Le groupe responsable de l’attaque a réussi à pirater des milliers de points d’extrémité de l’Internet des objets (IdO) (d’abord estimés à 100 000, puis rétablis à 20 000 par les chercheurs en sécurité), les transformant en un réseau zombie (botnet) afin de saturer les serveurs du fournisseur de système de noms de domaine (DNS) Dyn (récemment acquis par Oracle).
Cette technique n’est pas nouvelle, les pirates s’en servent fréquemment, et même si l’attaque visait plusieurs grands sites web à l’échelle mondiale, c’est le volume de trafic qui impressionne véritablement.
Il s’agissait d’une attaque d’une ampleur phénoménale, atteignant près de 1 Tbit/s par moment, ce qui rappelle l’attaque par déni de service distribué qui avait visé le blogue de Brian Kreb un mois auparavant (plus de détails ci-dessous). Si les prédictions de Gartner sont justes et qu’on atteint 20,8 milliards d’objets branchés à Internet capables de communiquer entre eux d’ici 2020, la fréquence des cyberattaques par DDOS ne fera qu’augmenter.
- Vol d’argent pour les clients de Tesco Bank
Environ 40 000 comptes de la banque britannique Tesco Bank ont été visés par une cyberattaque menée au début novembre. La nouvelle n’a rien de surprenant, des violations de données plus importantes ayant été rapportées (par exemple, Target en 2013).
Ce qui est inquiétant, c’est que les pirates ont prélevé de l’argent sur les comptes de milliers de clients, chose rare à l’ère du cybercrime, où la plupart des dommages sont virtuels.
La banque, qui compte plus de sept millions de clients, a déclaré que les pirates avaient réussi à dérober des montants allant jusqu’à 600 livres sterling (environ 763 $ US) aux comptes de 9 000 clients. Elle s’est engagée à rembourser ces sommes dans un délai de 24 heures ouvrables.
Les motifs de l’attaque restent flous. Parmi les hypothèses, on retrouve la compromission d’un détaillant tiers et les activités de cybercriminalité. Un client affirme que l’argent de son compte avait été retiré en quatre transactions distinctes à partir de Rio de Janeiro, au Brésil.
Évidemment, les conséquences de l’attaque sont considérables, non seulement pour les clients, mais aussi pour Tesco qui pourrait se voir infliger une amende potentielle importante par la Financial Conduct Authority (FCA) du Royaume-Uni.
- Des systèmes automatisés visés par une cyberattaque en Finlande
L’attaque visant le service DNS de la société Dyn avait attiré, en octobre dernier, l’attention du monde entier sur la question de la sécurité de l’IdO (et de ses lacunes), mais voilà qu’un mois plus tard on assiste à une nouvelle attaque aux conséquences graves.
Rappelant tout le danger de l’IdO, l’attaque menée en Finlande a eu pour effet de paralyser le système de chauffage de deux immeubles de la ville de Lappeenranta.
Selon la presse locale, les pirates informatiques ont réussi à perturber le système automatisé qui permet de contrôler les deux immeubles en le saturant de fausses données. Les appareils sont alors forcés de redémarrer à tout instant. Les assaillants ont également bloqué l’accès à distance des administrateurs au système.
Bref, les techniciens ont dû se rendre sur place pour couper l’accès Internet du matériel infecté jusqu’à ce que le trafic malveillant soit sous contrôle.
Selon Valtia, une société de gestion des TI, il est clair que les appareils connectés à Internet et la vulnérabilité du réseau du fabricant local Fidelix ont eu un rôle à jouer dans la situation.
- Fuite de données au département de la Justice des É.-U.
En février, des pirates informatiques visiblement mécontents des relations entre les États-Unis et Israël ont piraté la base de données du département de la Justice des États-Unis.
L’ATTAQUE MONTRE QUE LES ORGANISMES GOUVERNEMENTAUX SONT AUSSI VULNÉRABLES QUE LES ENTREPRISES. Selon CNN, les responsables de l’attaque ont divulgué les données de 10 000 employés du département de la Sécurité intérieure le premier jour, et le lendemain, les données de 20 000 agents du FBI. Parmi les renseignements de la fuite, on retrouve le nom, le titre, le numéro de téléphone et l’adresse courriel des employés. Le département de la Justice affirme toutefois qu’aucun autre renseignement sensible, comme le numéro d’assurance sociale, n’a été obtenu.
Nous ne savons toujours pas comment les pirates s’y sont pris, mais l’incident a soulevé le fait que les organismes gouvernementaux sont aussi vulnérables aux cyberattaques que les entreprises.
En effet, les pirates ont proclamé haut et fort, à partir d’un compte Twitter @DotGovs, qu’il a fallu une semaine au département de la Justice pour se rendre compte de l’intrusion dans leurs systèmes.
- AdultFriendFinder.com victime d’une nouvelle attaque
Le site pour adultes AdultFriendFinder est la cible de cyberattaques depuis quelques années, mais l’attaque de novembre 2016 a provoqué un nombre record de victimes.
Cette fois, pas moins de 412 millions de comptes ont été compromis. Les renseignements personnels des utilisateurs ont été obtenus et publiés sur le marché noir du web caché.
Parmi les données de la fuite, on retrouve l’adresse courriel, le mot de passe, le statut de membre VIP, l’historique du navigateur, la dernière adresse IP à se connecter et les achats effectués des utilisateurs. C’est LeakedSource qui a détecté et révélé la fuite au grand public.
Quelle leçon devons-nous en tirer? Les organisations ne se préoccuperont pas de la sécurité tant qu’ils continueront d’y voir des occasions de rehausser leur image. Enfin, la protection des renseignements personnels en ligne n’est jamais garantie, où que vous alliez.
- LinkedIn, Tumblr et Myspace en eau trouble
Au mois de juin, un pirate informatique surnommé « Peace » s’est fait connaître après avoir diffusé en ligne des données portant sur des millions d’utilisateurs LinkedIn, Tumblr et Myspace. Au total, plus d’un demi-milliard de mots de passe ont été révélés.
Sans contredit, le repaire du pirate sur le web caché contient une foule de renseignements. Selon Wired, son site contiendrait 167 millions de comptes d’utilisateurs de LinkedIn, 360 millions de MySpace, 68 millions de Tumblr, 100 millions du réseau social russe VK.com, et depuis peu, 71 millions de Twitter, ce qui totalise près de 800 millions de comptes... un nombre toujours croissant.
Ces vols de données ont eu lieu lors du piratage de comptes de médias sociaux de gens célèbres comme Katy Perry et Drake, Mark Zuckerberg, PDG de Facebook, et Biz Stone, cofondateur de Twitter.
Cependant, personne ne sait comment le pirate a pu réussir à monter une base de données aussi vaste, et s’il a agit seul. Certains croient que ces données datent de 2012 et que les cyberattaques ont pris une nouvelle ampleur lorsque les gens ont réutilisé les mots de passe.
- Le site de Krebs visé par une attaque par DDOS
Brian Krebs, journaliste et expert en cybersécurité, est célèbre dans le milieu, tenant tête aux groupes de pirates et révélant des intrusions avant même que les sociétés touchées ne s’en aperçoivent.
Avoir une telle mission peut faire de vous une cible, et c’est ce qui est arrivé en septembre dernier. Le site web de Krebs, malgré une protection supérieure, a été visé par une attaque par DDOS sans précédent (à ce moment) atteignant entre 620 et 655 Gbit/s.
Même si elle a échoué en raison de la protection d’Akamai, un fournisseur de système de noms de domaine (DNS), l’attaque était d’une puissance inouïe comparée à la dernière attaque par DDOS (363 Gbit/s). Par ailleurs, alors que l’attaque précédente se basait sur une technique d’amplification, celle visant Krebs était dirigée grâce à un vaste réseau zombie d’appareils piratés.
Qu’avons-nous appris? En fait, les attaques par déni de service distribué (DDOS) sont en pleine expansion en ce qui concerne leur taille, et elles sont devenues bien plus qu’un moyen de lancer une autre attaque ou d’infiltrer un réseau.
- Yahoo victime d’une fuite massive de données
En septembre, Yahoo, le moteur de recherche et fournisseur de courriel autrefois rival de Google, a été piraté. Il s’agissait alors de la « plus importante fuite de données jamais vue ».
La société a annoncé que les données de près de 500 millions d’utilisateurs avaient été volées, y compris des renseignements sensibles comme leurs noms, courriels, numéros de téléphone et mots de passe cryptés. L’ampleur de l’attaque avait de quoi surprendre, tout comme les responsables soupçonnés : des acteurs liés à un État.
Ce n’est pas la première fois que Yahoo a mauvaise presse pour des questions de cybersécurité, ayant déjà été victime de piratage en 2014. Toutefois, il reste à expliquer le fait que Yahoo aurait été informée de l’attaque depuis le mois d’août, soit deux mois avant l’annonce de l’intrusion.
- Yahoo victime d'une autre fuite massive de données
À force de rédiger les articles à l’avance, les nouvelles finissent par nous rattraper. Nous y voilà, avec ce dernier incident de sécurité. On ne peut jamais se reposer sur ses lauriers lorsqu’il est question de cybercriminalité.
Cette fuite de données d’une ampleur inégalée a fait les manchettes partout dans le monde les 14 et 15 décembre derniers. Yahoo a annoncé que, cette fois, près d’un milliard de comptes d’utilisateurs auraient été piratés. Pire encore, il s’agirait d’un incident séparé de l’attaque liée à la fuite de données de 2014.
Selon Bob Lord, responsable de la sécurité informatique chez Yahoo, cette violation de données pourrait remonter à août 2013. Des noms, adresses de courriel, numéros de téléphone et mots de passe cryptés ont été dérobés, mais les données relatives au paiement et aux comptes bancaires n’ont pas été touchées (elles ne sont pas stockées sur le même système).
Mark James d’ESET commente : « Que peut-on faire face à la fuite? ABSOLUMENT RIEN! C’est triste, mais on ne peut vraiment rien faire contre cette fuite de données. On peut seulement tenter de limiter les dégâts causés par la disparition des données. »
Il donne toutefois de judicieux conseils en matière de sécurité dans son article. À lire! Qu’est-ce que ça change pour l’industrie de la sécurité? Il est trop tôt pour le dire, mais l’événement marque un tournant.
- Anonymous s’infiltre dans une élection aux Philippines
Même si la nouvelle est passée sous le radar des journalistes en Amérique, il faut savoir que l’une des cyberattaques les plus catastrophiques de 2016 a eu lieu aux Philippines en avril.
La base de données de la Commission des élections (COMELEC) a été piratée, et les renseignements personnels de l’ensemble des électeurs du pays, soit près de 55 millions de personnes, ont été volés. L’attaque a été revendiquée par Anonymous Philippines et les données ont été publiées en ligne par Lulzsec Pilipinas.
Anonymous a indiqué vouloir forcer la COMELEC à renforcer la sécurité des machines à dépouillement avant l’élection nationale du 9 mai. Cet événement reflète bien notre époque et rappelle que la politique est davantage soumise aux influences extérieures qu’on ne voudrait le croire.